Mes Liens en Vrac
1297 shaares
486 résultats
taggé
sysadmin
How do I secure my Nginx web server with Let’s Encrypt free ssl certificate on my Ubuntu Linux 14.04 LTS or Debian Linux 8.x server?
Le Shell est un interpréteur de commande qui permet d'accéder aux fonctionnalités internes du système d'exploitation. Jusqu'à maintenant nous avons utilisé le Shell par défaut proposé par Debian, à savoir : bash. Mais il est possible d'utiliser d'autres Shell (comme par exemple Fish, Zsh, Csh...) qui offrent des fonctionnalités supplémentaires qui permettent d'interagir avec le système avec plus de confort et de simplicité.
HAProxy is TCP/HTTP reverse proxy load-balancing software that is available as open source software for both community and enterprise users. HAProxy has become the standard in the load balancing and high-availability management industry because it is available in most Linux distributions and is also the reference load-balancer for cloud orchestrator projects such as OpenStack and CloudStack as well as container orchestrators such as Kubernetes.
So you finally surrendered to containers and discovered that they solve a lot of problems and have a lot of advantages.
With last week's OpenSSL vulnerabilities questions came up when LibreSSL would replace OpenSSL in FreeBSD base. This was picked up by the HardenedBSD developers and they asked me if I'd be interested in adding LibreSSL as alternative libcrypto/ssl in HardenedBSD. Well SURE I do! This post describes the early stages of this project.
I have read a shitload of overcomplicated setups to bring up a postfix / dspam SMTP + antispam server, and finally came to a much lighter and simpler configuration by basically reading documentation and real life examples.
Note this is suitable for a personnal and basic environment, no database, no virtual setup. Basic stuff.
Note this is suitable for a personnal and basic environment, no database, no virtual setup. Basic stuff.
Alors qu’Internet, et particulièrement sa version mobile, prend de plus en plus de place dans la vie quotidienne des entreprises, il est bon parfois de surveiller ce qu’il se passe sur la toile. Que ce soit pour mieux gérer son trafic ou pour améliorer la qualité de son site et de ses applications, voici 5 outils pour dévoiler les coulisses de vos protocoles HTTP.
test your Diffie-Hellman parameters for safe primes and right sizes
Ubuntu 16.04 LTS (Xenial) is only a few short weeks away, and with it comes one of the most exciting new features Linux has seen in a very long time...
Cette série d’articles sur la mise en place des jails de FreeBSD 10.1 a commencé par la mise en place de l’architecture et la création d’une première jail de test.
Extending and consolidating hosts files from a variety of sources like adaway.org, mvps.org, malwaredomains.com, someonewhocares.org, yoyo.org, and potentially others. You can optionally invoke extensions to block additional sites by category.
A safe, comprehensible and efficient PID 1/init replacement written in OCaml.
Les expressions rationnelles sont un outil d’analyse de texte par un ordinateur. Elles permettent de décrire des enchaînements de caractères d’une complexité suffisamment grande pour être réellement utiles, mais suffisamment faible pour être implémentées efficacement. Elles sont d’une importance capitale pour le théoricien des langages comme pour l’UNIX power user.
On va voir ici comment mettre en place une supervision distribuée en utilisant des relais SSH. Nous avons un serveur Centreon à blanc (CES3.3) et nous cherchons à superviser des machines sur un LAN distant. Nous avons un accès SSH sur un relais (Raspberrypi) via le port 60022.
Dans les systèmes Linux les plus modernes, vous trouverez des systèmes de fichiers memory-based pour rendre l’accès à un stockage sur disque bien plus rapide en allouant un peu d’espace RAM à un point de montage sur disque. Mais cela signifie aussi que cette partie de disque sera éphémère et n’existera plus après un redémarrage système.
This week we’re announcing the 1.0 release of rkt, and this guide will help you get up and running with the project, all the way from installing rkt to building and running your own app container image.
Quand on joue avec des bases de données, il n’est pas rare de tout exploser. D’où l’importance de bien sauvegarder et de savoir restaurer.
how do I login over ssh without using password less RSA / DSA public keys? How do I use ssh in a shell script? How do I login non-interactivly performing password authentication with SSH and shell scripts?
Nmap is short for Network Mapper. It is an open source security tool for network exploration, security scanning and auditing. However, nmap command comes with lots of options that can make the utility more robust and difficult to follow for new users.
How do I setup primary dns name server using tinydns under FreeBSD operating systems?
Maîtriser (mieux) SQL Server
J’ai moi aussi sauté le pas vers let’s encrypt avec toute l’encre numérique qu’il a fait couler ces dernières semaines j’ai eu envie d’en voir un peu plus. Cela tombe bien je projetais depuis un moment de chiffrer le blog alors « endavant ! » comme on dit par chez moi.
I’ve spent the last couple months configuring and setting up a new home server, with the intent of using it as a storage and media server.
Building an smtpd Mail Server using OpenBSD/OpenSMTPD
PowerShell Basic – Quick Mass Filename Rename
Système et réseau : histoire et technique - [Site WWW de Laurent Bloch]
Now that you are able to create various forward or reverse SSH tunnels with lots of options and even simplify your live with ~/.ssh/config you probably also want to know how make a tunnel persistent. By persistent I mean, that it is made sure the tunnel will always run. For example, once your ssh connection times out (By server-side timeout), your tunnel should be re-established automatically.
netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack.
Conteneurs et Cloud : l'intérêt s'accélère (aussi en France).
ufw, Uncomplicated FireWall
L’ANSSI présente le système d’exploitation sécurisé CLIP, ses principes de conception et ses scénarios d’emploi.
The system administrator is responsible for security Linux box. In this first part of a Linux server security series, I will provide 20 hardening tips for default installation of Linux system.
Le Grand Guide des Bases de Données : les bases relationnelles
Nous aborderons ici les principaux éléments nécessaires pour écrire son plugin de supervision.
Un article sur comment remplacer facilement php5 par php7 sur Debian Jessie, installé avec le serveur web Nginx.
This application is intended for creating and managing X.509 certificates, certificate requests, RSA, DSA and EC private keys, Smartcards and CRLs. Everything that is needed for a CA is implemented. All CAs can sign sub-CAs recursively. These certificate chains are shown clearly. For an easy company-wide use there are customiseable templates that can be used for certificate or request generation. All crypto data is stored in an endian-agnostic file format portable across operating systems.
Avec Vuvuzela, le MIT propose une messagerie qui génère un brouillard numérique pour réduire les risques d’espionnage.
ZeroDB est un système open-source de gestion de base de données chiffrées, qui permet de s'assurer que seul le client a connaissance de la version en clair des données qu'il reçoit.
Ou : utilisons un logiciel dont c'est le taf de proxyfier :-)
As I wrote about in the past, Windows support was coming to the FreeBSD hypervisor bhyve. Support officially came with FreeBSD 11.0-CURRENT r288524 when it was announced via the FreeBSD Virtualization mailing list. Shortly after, Windows Diplomat Michael Dexter wrote a great how-to on the FreeBSD Wiki to get Windows up and going under bhyve.
Ça y est, je me suis lancé ! J'ai testé Let's Encrypt, dont j'ai beaucoup entendu parler.
Comme promis à plusieurs personnes, un petit billet sur les extensions que j’utilise pour tenter de protéger ma vie privée.
Enfin. On l'attendait depuis longtemps. À chaque message publié sur leur blog, je lisais vite pour voir s'illes parlent d'une date de sortie. Il y avait d'abord eu une beta fermée (avec inscription sur un google docs), puis avant-hier, jeudi 3 décembre la beta a été ouverte à tou⋅te⋅s. Enfin.
This is an Acme Protocol implementation written fully using PHP language. It allows you to create manage and revoke certificates using ACME protocol used by Let's Encrypt
Its aim is to be used by hosting control panel software and hosting companies using PHP for their hosting panel.
Its aim is to be used by hosting control panel software and hosting companies using PHP for their hosting panel.
Installer un serveur Minecraft Vanilla sous GNU/Linux
Mozilla dit adieu à Thunderbird. Le client mail de la fondation fermera bientôt ses portes pour recentrer ses forces vives autour de Firefox, projet bien plus populaire.
Keys hard-coded in thousands of routers, modems, IP cameras, VoIP phones and other devices can be used to launch man-in-the-middle attacks
Cet article est un petit mémo sur la commande dig, qui permet de tout savoir sur les resolveurs DNS. Pour rappel, un résolveur DNS est un serveur, qui va résoudre un nom d’hôte (ou un FQDN : Full Qualified Domaine Name) en adresse IP.
Même si un antivirus est maintenant délivré d'office avec les systèmes Windows, de nombreuses alternatives qui proposent plus de fonctionnalités existent. Comment choisir son antivirus et quelle est leur efficacité ?
I had problems with getting an old amd64 system boot from USB using miniroot58.fs as biosboot(8) aborted with ERR M. My only remaining option was to get PXE working.
I've been using OpenBSD since way back at release 2.3 in 1998, so I've gone through upgrades that took a fair amount of work due to incompatible changes, like the switch from ipf to pf for host firewalling or the change to ELF binaries.
Predictable SSH host keys
This report summarizes the results of that security analysis. As well as uncovering possible vulnerabilities, the aim was also to point out possible areas for improvement during any future developments of the program.
How do I install rsnapshot a filesystem snapshot utility based on rsync on my FreeBSD server to backup my local/remote Linux and Unix-based desktop, server and laptop system?
GnuPG is the de-facto way to use OpenPGP compliant smart cards. However in order to use the card for anything other than GPG (and SSH), e.g. TLS Client authentication, PKCS#11 is the industry standard used by all other non-GPG software.
pledge(), a new mitigation mechanism
As discussed in part 1 of this series, Docker can rightly be classified as a type of mini-host. Just like a regular host, it runs work on behalf of resident software, and that work uses CPU, memory, I/O, and network resources. However, Docker containers run inside cgroups which don't report the exact same metrics you might expect from a host. This article will discuss the resource metrics that are available. The next article in this series covers three different ways to collect Docker metrics.
Sudo (su "do") allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as root or another user while providing an audit trail of the commands and their arguments.
Il y a quelques temps j'ai fait un screencast sur Youtube, où je présentais comment cracker un mot de passe windows avec Offline Empty Password Registry Editor.
Valable pour la série, windows XP/Vista et 7.
Valable pour la série, windows XP/Vista et 7.
Dans cet article, je clamais mon ras le bol sur les controverses qui gangrénaient de plus en plus la philosophie du hacking -- au sens originel -- que l'on trouvait au sein des communautés linuxiennes. J'avais décidé de ne plus utiliser, volontairement, un de ces systèmes et de confier mes machines au vénérable système d'exploitation qui pique, à savoir OpenBSD.
Parfois, certains serveurs sont là depuis tellement longtemps qu’on n’y prête même plus attention. Et pourtant, il arrive qu’ils fassent tourner des applications assez sensible, parfois même critique.
BEURK is an userland preload rootkit for GNU/Linux, heavily focused around anti-debugging and anti-detection.
Http2: why the web is upgrading? - bdx.io 2015
Disponibles directement sur internet, utilisant de plus en plus du code partagé et traitant bien souvent des données sensibles (données bancaires, données clients…), les applications web sont devenues une cible privilégiée d’attaques pour les cybercriminels. Explications.
Email perfectly embodies the spirit of the internet: independent mail hosts exchanging messages, no host more or less important than any other. Joining the network is as easy as installing Sendmail and slapping on an MX record.
A list of XMPP servers available as hidden services for use with the Prosody server and mod_onions
Switching to systemd-networkd for managing your networking interfaces makes things quite a bit simpler over standard networking scripts or NetworkManager. Aside from being easier to configure, it uses fewer resources on your system, which can be handy for smaller virtual machines or containers.
Si vous êtes sous Linux et que vous voulez être absolument certain que l'intégralité de votre trafic passe par le réseau Tor, voici Nipe, un script Perl imaginé par Heitor Gouvea.
There have been rumors for years that the NSA can decrypt a significant fraction of encrypted Internet traffic. In 2012, James Bamford published an article quoting anonymous former NSA officials stating that the agency had achieved a “computing breakthrough” that gave them “the ability to crack current public encryption.”
Nombreux sont ceux qui possèdent un serveur web « dans le cloud », mutualisé ou tout simplement sur un réseau distant et qui le manage à distance. La ligne de commande MySQL peut avoir ses avantages, rapidité, précision, clarté… La possibilité d’ouvrir les services MySQL sur l’extérieur pour manager, questionner ou backuper son serveur fait partie des avantages de ce service. Néanmoins, on oublie souvent la sécurité des échanges MySQL. En effet, ces échanges transitent sur un réseau et qu’ils transportent des informations qui sont très intéressantes pour des personnes qui traînent un peu trop leurs yeux.
Dans les techniques d'authentification normalisées pour un client HTTP, la plus connue et la plus simple est le mécanisme Basic du RFC 7617. Mais elle a plusieurs failles de sécurité, comme le transmission explicite du mot de passe (et qui se fait en clair si on n'utilise pas HTTPS).
In this post we'll be focusing on a certain kind of malware: Linux/Xor.DDoS (also known as DDoS.XOR or Xorddos).
A regular expression is a sequence of characters used for parsing and manipulating strings. They are often used to perform searches, replace substrings and validate string data. This article provides tips, tricks, resources and steps for going through intricate regular expressions.
Own-Mailbox est une solution se présentant comme « La boîte mail 100% confidentielle ». Surf sur la vague de la vie privée, quitte à faire du bullshit ou vraie solution de protection, une petite analyse rapide de ce nouveau projet.
As of nginx 1.9.5, there is experimental support for HTTP/2. This article will show you how to enable HTTP/2 support in your Nginx configuration. This can be enabled or disabled per vhost, it does not have to be enabled server-wide.
Whenever we ask curl users what they lack in our project and what we should improve, the response is always clear: documentation.
ZFS compression results in workload starvation, partially ameliorated by async_write_max_active
HAProxy Starter Guide
No matter how tightly you restrict outbound access from your network, you probably allow DNS queries to at least one server.
This is a collection of thoughts on securing a modern Apple Mac computer using OS X 10.11 "El Capitan", as well as steps to improving online privacy.
Lynis est un outil d’audit de sécurité pour les systèmes UNIX. Il vérifie le système ainsi que les logiciels installés et crée un rapport sur les éventuels risques de sécurité.
Modern Windows versions add headaches to active VPN users. DNS resolver in earlier versions up to Windows 7 was predictable and made DNS requests in order according to DNS servers preference, just as all other OS. This could lead to DNS Leak only if the DNS server inside the tunnel didn’t reply in time or sent en error, which wasn’t that horrible.
Grsecurity has existed for over 14 years now. During this time it has been the premier solution for hardening Linux against security exploits and served as a role model for many mainstream commercial applications elsewhere. All modern OSes took our lead and implemented to varying degrees a number of security defenses we pioneered; some have even been burned into silicon in newer processors. Over the past decade, these defenses (a small portion of those we've created and have yet to release) have single-handedly caused the greatest increase in security for users worldwide.
Probably one of the smallest SSL MITM proxies you can make. Only using openssl, netcat and a couple of other standard command line tools.
Securing your IT infrastructure bysecuring your team
During Positive Hack Days V, I made a fast track presentation about eCryptfs and password cracking. The idea came to me after using one feature of Ubuntu which consists in encrypting the home folder directory. This option can be selected during installation or activated later.
Lorsque l’on vends ou qu’on donne son ordinateur on omet généralement d’effacer le disque dur. Cela peut poser un problème si votre disque dur contient des documents confidentiel ou des mots de passes ou un profil Firefox avec des cookies de session. La personne qui récupère votre PC peut alors utiliser vos profils ou consulter vos courriels...
SSH Tipps & Tricks - RMLL 2015
Elasticsearch: The Definitive Guide
systemd controls the world... and sends your DNS requests to Google if there are no other servers via @bortzmeyer. Systemd and pulse-audio sucks !
La plaie de DNSSEC, comme celle de tous les systèmes de cryptographie, est la gestion des clés. Avec DNSSEC, la clé de signature des autres clés, la KSK (Key Signing Key) est censée être remplacée (rolled over) régulièrement. Si un résolveur a une KSK dans sa configuration, cela oblige l'administrateur du résolveur à effectuer le remplacement à la main, ce qui peut être contraignant. Notre RFC 5011 propose une autre solution : le domaine signe la nouvelle KSK avec l'ancienne et le résolveur accepte alors automatiquement cette nouvelle clé.
Une vulnérabilité a été corrigée dans le noyau Linux de Fedora. Elle permet à un attaquant de provoquer un déni de service.
Tmux is great, except when you have to restart the computer. You lose all the running programs, working directories, pane layouts etc. There are helpful management tools out there, but they require initial configuration and continuous updates as your workflow evolves or you start new projects.
tmux-resurrect saves all the little details from your tmux environment so it can be completely restored after a system restart (or when you feel like it). No configuration is required. You should feel like you never quit tmux.
tmux-resurrect saves all the little details from your tmux environment so it can be completely restored after a system restart (or when you feel like it). No configuration is required. You should feel like you never quit tmux.
La communauté Debian a récemment découvert que la dernière version du navigateur open source Chromium 43 téléchargeait silencieusement une extension (fichier binaire) contenant du code propriétaire au moment de son installation. Cette extension, baptisée « Chrome Hotword Shared Module » , s'intègre avec le microphone pour favoriser l'utilisation de la reconnaissance vocale au sein du navigateur ; permettant ainsi d'écouter les conversations des utilisateurs à leur insu. L'extension arriverait à faire cela en ajoutant à Chromium la célèbre fonctionnalité « OK Google » contenue dans les applications mobiles.
Connaissez-vous le projet Grsecurity/PaX ? NBS System tient aujourd’hui à mettre en lumière ce composant essentiel de son infrastructure CerberHost, le Cloud de très haute sécurité.
MySQL is a powerful open source Relational Database Management System or in short RDBMS. It was released back in 1995 (20 years old). It uses Structured Query Language which is probably the most popular choice for managing content within a database. The latest MySQL version is 5.6.25 and was released on 29 May 2015.
Unix-privesc-checker is a Unix/Linux User privilege escalation scanner that runs on Unix systems (tested on Solaris 9, HPUX 11, Various Linuxes, FreeBSD 6.2). It tries to find misconfigurations that could allow local unprivileged users to escalate privileges to other users or to access local apps (e.g. databases).
signify: Securing OpenBSD From Us To You (OpenBSD)
Using routing domains / routing tables in a production network with OpenBSD
The program sha256sum is designed to verify data integrity using the SHA-256 (SHA-2 family with a digest length of 256 bits). SHA-256 hashes used properly can confirm both file integrity and authenticity. SHA-256 serves a similar purpose to a prior algorithm recommended by Ubuntu, MD5, but is less vulnerable to attack.